Hola Juanra. Te iba a escribir directamente porque no es estrictamente un tema del AS y ya ha salido alguno quej�ndose,pero visto que hay aceptaci�n explico nuestra experiencia:
Nosotros hace un par de a�os que estamos en el tema, sobre todo desde que empezamos a recibir las 'amenazas' de este tipo de empresas que dices.En nuestra empresa hay movimiento de gente y era un tema a tener en cuenta.Ojo,no somos ninguna ETT.El jefe de personal y yo estuvimos haciendo reuniones y buscando informaci�n hasta que llegamos a las siguientes conclusiones:
-Tendriamos que hacer un todo un estudio y un programa de adecuaci�n a las normas y pasar nosotros mismos una auditoria primero,y las auditorias periodicas que marca la ley.
-Tendriamos nosotros que hacer las modificaciones pertinentes en ficheros y controles de acceso y registrar los datos
-S�lo faltaria que nos caiga un puro por una mala interpretaci�n que hemos hecho de la jodida ley.
Total que para subsanar el primer y ultimo punto(el segundo nos lo comemos seguro) hemos buscado ayuda en una asesoria de estos temas(evidentemente,ninguna de las que 'amenazan').
Muchos de los puntos oscuros de que hablas,se arreglan en teoria de forma contractual entre las partes,sea con contratos de cesi�n de datos(con la gestoria que te lleva los temas de personal) o no responsabiliz�ndose la empresa de los datos que no se guarden en ella. Por ejemplo el caso de los comerciales externos que poseen un ordenador con outlook y pueden guardar datos personales de sus contactos en las diferentes empresas.Datos que no se guardan centralizados en la empresa principal.
Hay que tener un control(al menos certificar que se tiene) de todos los soportes de datos que entran y salen de la empresa y quien los posee.
Las comunidades de propietarios parece ser que son una entidad juridica y tienen que declarar los ficheros que posean. Si est�n a cargo del presidente,en principio puede colar(hasta el 2007), pero si los lleva una gestoria,pueden apretarte para que los declares tambien.
En fin,todo pasa por certificar quien es el propietario,el responsable y los usuarios de los datos.
Para terminar(esto pretende ser un resumen), los ficheros de riesgos laborales son de nivel alto y tienes que guardar registros de todos los accesos y modificaciones que sufren.
Si el debate sigue,ya me extendere mas.
| Juan Ram�n Garcia <[EMAIL PROTECTED]>
Enviado por: [EMAIL PROTECTED] 12/11/04 12:41
|
|
Hola a [EMAIL PROTECTED]:
Llevo varios d�as (semanas) ausente del Foro, adem�s de mis tareas habituales me ha
ca�do encima el tema de la LOPD lo que me ha obligado a ponerme al d�a en todos los
temas jur�dicos y su relaci�n con otras normativas existentes (Seguridad e Higiene en
el Trabajo, Protecci�n de Riesgos Laborales e incluso la Ley de la Propiedad
Horizontal).
Tras recopilar un buen n� de folios y megas sobre todo esto y una vez "digerido" todo
este foll�n me enfrento a ciertas dudas "existenciales" que me gustar�a compartir con
vosotros:
El sentido de la LOPD es preservar el derecho constitucional de cada ciudadano a la
protecci�n de su honor e intimidad personal y familiar. Este concepto que parece tan
claro y simple se diluye y complica a medida que se profundiza en cada uno de los
art�culos de la Ley.
Est� muy claro que la LOPD s�lo es aplicable a personas f�sicas y no ampara a
entidades o personas jur�dicas, esto puede llevar a confusi�n con el tema de
aut�nomos y profesionales pero varias sentencias aclaran que dichas personas f�sicas
pierden el amparo de la Ley al actuar como entidad jur�dica en su actividad
profesional. Con esto podemos afirmar (por lo menos en mi caso ya que no trabajamos
con particulares) que tanto los ficheros de clientes/proveedores como los maestros de
cuentas contables no necesitan estar registrados porque, en principio, no contienen
datos de car�cter personal ya que �nicamente almacenan informaci�n de entidades y
personas jur�dicas (los aut�nomos y profesionales se consideran personas jur�dicas en
estos casos).
Sin embargo hay un peque�o detalle que lleva al traste esta teor�a, la LOPD define
como dato de car�cter personal "cualquier informaci�n concerniente a personas f�sicas
identificadas o identificables", esta definici�n tan amplia convierte un inocente
fichero de clientes en un fichero que debe registrarse simplemente por contener el
nombre de la persona de contacto de la empresa, lo cual vulnera el derecho a su
intimidad al relacionarlo con la empresa donde trabaja.
Llevando la LOPD a sus �ltimas consecuencias nos encontramos que el registro de
nombres de Domin� y las libretas de direcciones de Notes son ficheros que deben ser
registrados ya que contienen casillas donde se puede especificar no s�lo la direcci�n
laboral sino tambi�n la personal e incluso los nombres del c�nyuge y sus hijos,
tambi�n la direcci�n de correo electr�nico puede ser considerada dato de car�cter
personal si incluye el nombre y/o apellidos del usuario.
Algo tan simple como la recepci�n de un curr�culum por e-mail puede suponer una
sanci�n en caso de inspecci�n, en caso de no tener registrado el fichero de correo
del usuario que los recibe y almacena, se considera almacenado incluso aunque haya
sido enviado a la papelera de reciclaje y dicha papelera no haya sido vaciada.
Mucho m�s complejo es el tratamiento de los datos de los empleados para la confecci�n
de n�minas, c�lculo del porcentaje de IRPF, etc., y su posible cesi�n a una gestor�a
para realizar todos esos tr�mites, donde la cosa se pone realmente fea es cuando
intentas "casar" la Ley de Prevenci�n de Riesgos Laborales con la LOPD, ya que en
este caso las mutuas a las que subcontratamos estas tareas (revisiones m�dicas, etc)
obtienen datos considerados de alto riesgo y es el responsable del fichero (nuestra
empresa y no la mutua) el encargado de registrar, protocolizar y velar por el
cumplimiento de todas las medidas de seguridad necesarias.
Por �ltimo, y esto es de chiste, la Ley de la Propiedad Horizontal establece que los
vecinos que no est�n al tanto de sus cuotas pueden asistir a las juntas pero no
pueden votar, para ello debe ser incluido en el orden del d�a de la reuni�n la
relaci�n de vecinos "morosos", lo que vulnera el derecho a la intimidad que protege
la LOPD, se ha dado el caso (publicado en un diario econ�mico y disponible en la web
de la AEPD) de una comunidad de propietarios que fue denunciada por uno de sus
vecinos por hacer p�blico en la convocatoria de la junta que ese vecino no estaba al
corriente de sus cuotas, tras la correspondiente inspecci�n la Agencia Espa�ola de
Protecci�n de Datos sancion� a la Comunidad de Propietarios con 60.000 Euros, que
debieron pagar entre todos los vecinos incluido el que hab�a efectuado la denuncia.
Toda esta aberraci�n no es nueva, ya lleva varios a�os funcionando, mis dudas sobre
el asunto est�n motivadas porque los defectos de forma que tiene esta Ley en
concreto, est�n facilitando la proliferaci�n de empresas que ofrecen sus servicios de
consultor�a en este tema, con la velada amenaza de una posible inspecci�n sorpresa
por parte de la AEPD y sus consecuencias sancionadoras (desde 600 a 600.000 Euros),
haciendo hincapi� en que la AEPD no dispone de partida presupuestaria y se financia
�nicamente de las sanciones que impone.
�C�mo hab�is abordado este problema?
�Hab�is tenido en cuenta todos y cada uno de los aspectos de la LOPD?
�C�mo impedir que un usuario almacene datos de car�cter personal sin conocimiento de
la empresa? y no s�lo eso, �c�mo impedir que los grabe en un diskette, PDA, l�piz de
memoria, etc. y se los lleve para Dios sabe que oscuros fines?.
No es suficiente con registrar los ficheros y crear el documento de seguridad, el
responsable del fichero debe tomar todas las medidas necesarias para que se cumplan
los protocolos de seguridad establecidos, cualquiera con acceso de consulta al
fichero de clientes puede hacer un "copy/paste" de la pantalla y montarse un bonito
fichero en el lector MP3 que lleva en el bolsillo y que conecta al puerto USB de su
PC.
No existen, o no he sabido encontrarlos, modelos "oficiales" de los documentos de
seguridad, de las cl�usulas de los contratos de cesi�n de datos a gestor�as, de las
normas de obligado cumplimiento que hay que notificar a los usuarios para evitar
estos problemas, resumiendo, todo esto es tan ambiguo que cualquier empresa puede ser
sancionada por algo tan simple como tener las tarjetas de visita organizadas en el
tarjetero y no guardarlo bajo siete llaves.
Un saludo.
Juanra
_____________________________________________________
Forum.HELP400 es un servicio m�s de NEWS/400.
� Publicaciones Help400, S.L. - Todos los derechos reservados
http://www.help400.es
_____________________________________________________
Para darte de baja, env�a el mensaje resultante de pulsar
mailto:[EMAIL PROTECTED]
